System des Datenschutzes in der Schweiz und in Luzern

Transkript

1 System des Datenschutzes in der Schweiz und in Luzern Referat von Dr. iur. Amédéo Wermelinger, Datenschutzbeauftragter des Kantons Luzern für die korpsspezifische Ausbildung Kapo/Stapo Luzern Mittwoch, 31. März

2 Gliederung des Vortrages Teil I: die Grundsätze des Datenschutzes Teil II: die Bekanntgabe von Personendaten innerhalb der Verwaltung Teil III: Spezielles zur Polizei 2

3 Teil I Die Grundsätze des Datenschutzes 3

4 Gesetzliche Verankerung des Datenschutzes Bundesverfassung Art. 10 Persönliche Freiheit (BV) Art. 13 Schutz der Privatsphäre Bundesrecht Bundesgesetz über den Daten- (DSG) schutz vom (235.1) Verordnung vom (235.11) Kantonales Recht Gesetz über Schutz von Personen- (Kt. DSG) daten vom (SRL 38) Verordnung vom

5 Anwendungsbereich Bund Kanton - Bundesbehörde (Art. 16 ff DSG) - Private (Art. 12 ff DSG) - kantonale und kommunale Behörden ( 3 Kt. DSG) 5

6 Personendaten (Art. 3 DSG; 2 kt. DSG) Personendaten Angaben über bestimmte oder bestimmbare natürliche oder juristische Personen oder eine Personengesellschaft des Handelsrecht besonders schützenswerte Personendaten besondere Gefahr der Persönlichkeitsverletzung Angaben über - religiöse, weltanschauliche oder politische Haltung - Intimsphäre, Gesundheit, ethnische Zugehörigkeit - Massnahmen der Sozialhilfe - administrative und strafrechtliche Massnahmen und Sanktionen 6

7 Personendaten (Art. 3 DSG; 2 kt. DSG) Persönlichkeitsprofile Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der natürlichen Person erlaubt 7

8 Bearbeiten von Personendaten (Art. 3 DSG; 2 Kt. DSG) = jeder Umgang mit Personendaten unabhängig von den angewendeten Mitteln und Verfahren Erheben, Beschaffen, Aufzeichnen, Sammeln, Verwenden, Umarbeiten, Bekanntgeben, Archivieren, Vernichten usw. 8

9 Prinzip der Gesetzmässigkeit (Art. 4 DSG; 4 Kt. DSG) Personendaten dürfen zur Erfüllung von Aufgaben bearbeitet werden, für die eine Rechtsgrundlage besteht besonders schützenswerte Personendaten sowie Persönlichkeitsprofile bedürfen einer Rechtsgrundlage im Sinne eines formellen Gesetzes Für polizeilich notwendige Datensammlungen liefert 4 des Gesetzes über die Kantonspolizei die rechtliche Grundlage (siehe aber auch Grundlagen für Ripol, Janus usw.). 9

10 Prinzip der Zweckgebundenheit (Art. 4 DSG; 4 Kt. DSG) Verwendung der Daten nur zum vorgegebenen Zweck keine Datensammlungen auf Vorrat (z.b. Filmaufnahmen von friedlich verlaufenen Demos) 10

11 Prinzip der Verhältnismässigkeit (Art. 4 DSG; 4 Kt. DSG) Bearbeitung nur soweit wie für Aufgabenerfüllung notwendig und geeignet Beschränkung auf das Notwendige und tatsächlich Erforderliche 11

12 Prinzip der Integrität (Art. 5 DSG; 4 Kt. DSG) Daten müssen richtig (und vollständig) sein dem Verwendungzweck entsprechend genügend genau, vollständig und nachgeführt 12

13 Verantwortung für den Datenschutz Für den Datenschutz ist jedes Organ verantwortlich, das Personendaten bearbeitet ( 6 Abs. 1 Kt. DSG) Outsourcing ( 6 Abs. 2 Kt. DSG) 13

14 Datensicherheit (Art. 7 DSG; 7 Kt. DSG) Datenschutz Datensicherheit Datenschutz Frage der materiellen Zulässigkeit von Datenbearbeitungen; Fragestellung: Unter welchen Voraussetzungen dürfen Personendaten bearbeitet werden? Datensicherheit Zustand, in dem die Integrität, die Verfügbarkeit und die Vertraulichkeit von Daten, Programmen, Verfahren und Anlagen gewährleistet wird. 14

15 Datensicherheit Es sind die angemessenen technischen und organisatorischen Massnahmen gegen unbefugtes Bearbeiten zu treffen. zu gewährleisten sind: Verfügbarkeit Vertraulichkeit Integrität Authentizität 15

16 Vertraulichkeit Ein Beispiel: Eine ist kein Brief, sondern eine Postkarte! Jeder kann mitlesen! Lieber A.! Viele Grüße! Dein B. A. Test Teststr Test Schutz sensibler Daten vor unbefugter Einsichtnahme durch Verschlüsselung 16

17 Verfügbarkeit Langfristige Lesbarkeit und Prüfbarkeit der Daten Serverbetrieb rund um die Uhr Vorausschauender Schutz vor Angriffen (Denial-of-Service, Eindringversuche) Verfügbarkeit durch Datensicherung, sichere IT, redundante Hardware,... 17

18 Integrität: keiner hat s geseh n Ungeschützte Daten ( , Formulare, Dateien,...) können von jedem beliebig und unbemerkt geändert bzw. gefälscht werden. Unveränderbarkeit von Daten durch Einsatz von elektronischen Signaturen 18

19 Authentizität: who is who? Internet Kunde: Wer ist die Behörde? -Absender problemlos fälschbar Behörde: Wer ist der Kunde? Zuverlässige Zuordnung von Daten zu ihrem Autor durch elektronische Signaturen 19

20 Datensicherheit Datensicherheit ist kein starres System, sondern immer ein Abwägen Anforderungen an die Datensicherheit - Sensibilität der Daten - Interaktion der Daten -Menge der Daten - Anzahl Betroffene 20

21 Kontrollrechte der Betroffenen Auskunftsrechte Berichtigungsrechte Beseitigungsansprüche sind zu gewährleisten 21

22 Auskunftsrechte der Betroffenen (Art. 8 ff. DSG; 15 ff. DSG Kt.; aber auch 11 DSV) Jede Person kann Auskunft verlangen über Personendaten, die Sie betreffen Das Auskunftsrecht kann eingeschränkt werden (z.b. Gesetz, vorwiegendes Interesse) In Bezug auf Polizeidaten, schreibt 11 der Verordnung zum Datenschutzgesetz vor, dass die Auskunft schriftlich beim Kommando der Kantonspolizei verlangt werden muss. Ebenso wird erläutert, wie der Verweigerungsentscheid formuliert werden kann. 22

23 Berichtigungsrechte der Betroffenen (Art. 15 und 25 DSG; 17 Kt. DSG) Die Betroffenen können die Berichtigung von unrichtigen Personendaten fordern Kann weder Richtigkeit noch die Unrichtigkeit der Personendaten dargetan werden ist dies zu vermerken 23

24 Beseitigungsrechte der Betroffenen (Art. 15 und 25 DSG; 18 Kt. DSG) Die Betroffenen können verlangen, dass unrechtmässig bearbeitete Personendaten vernichtet werden Daten, die nicht mehr benötigt werden, sind zu achivieren oder zu löschen ( 13 Kt. DSG Alle Daten müssen grundsätzlich vor der Löschung dem Archiv angeboten werden ( 6 Archivgesetz) 24

25 Rechtsschutz (Art. 15, 25 und 33 DSG; 21 ff. Kt. DSG): Zwischen Privaten, ist der Rechtsschutz dem Privatrecht unterstellt (Art. 28 ff. ZGB) Zwischen Bund und Betroffenen ist primär das Verwaltungsverfahren anwendbar, gegen Verfügungen von Bundesorganen kann die Eidgenössische Datenschutzkommission angerufen werden Im Kanton ist das Verwaltungsverfahren anwendbar 25

26 Teil II Die Bekanntgabe von Personendaten innerhalb der Verwaltung 26

27 Regelung der Datenbekanntgabe Organe Organe wenn Rechtsgrundlage vorhanden, die zur Bekanntgabe ermächtigt oder verpflichtet oder wenn Anforderungen der 4 und 5 DSG-LU erfüllt sind aber beachte: stets unter Vorbehalt besonderer Geheimhaltungspflichten! 27

28 Regelung der Bekanntgabe durch Kapo Gesetzliche Grundlage für Bekanntgabe von polizeilichen Daten ist vorhanden: 4 Abs. 2 Gesetz über Kantonspolizei 2 Sie kann Daten im Rahmen der Zusammenarbeit mit Polizeiorganen anderer Gemeinwesen und mit staatlichen Institutionen erheben, bearbeiten und weitergeben. Daten dürfen nur weitergegeben werden, wenn dies zur Erfüllung der gesetzlichen Aufgaben der Informationsempfängerinnen und empfänger erforderlich ist. 28

29 Regelung der Datenbekanntgabe Organe Organe Datenbekanntgabe und Amtshilfe Amtsgeheimnis (verschiedene Spezialgesetzgebungen und StGB Art. 320) Amtsgeheimnis gilt auch zwischen verschiedenen Verwaltungseinheiten! Amtshilfe = gesetzliche Auskunfts- und Rechtshilfepflichten als Ausnahmen vom Amtsgeheimnis 29

30 Teil III: Spezielles zur Polizei 30

31 Bild- und Tonaufnahmen bei Demos Solche Überwachungsmassnahmen sind zulässig, sofern ein konkreter Anhaltspunkt für mögliche Ausschreitungen besteht (Grundlage: 1 Gesetz über die Kantonspolizei) Solche Aufnahmen müssen aber innert drei Monaten nach dem Ereignis vernichtet werden, sofern sie nicht in ein Strafverfahren überführt worden sind ( 13 Abs. 2 DSG Kant.) 31

32 Keine Anwendung des DSG im Strafverfahren Polizeiliche Untersuchungsmassnahmen im Rahmen einer eingeleiteten Strafverfolgung unterstehen nicht dem DSG sondern nur der Strafprozessordnung ( 3 Abs. 2 DSG Kt.) 32

33 Datenbearbeitung aufgrund Eidgenössischen Rechts Erfolgt eine Datenbearbeitung aufgrund einer Ermächtigung im Eidgenössischen Recht (RIPOL, JANUS usw.), geht diese grundsätzlich dem kantonalen Datenschutzrecht vor 33

34 DNA-Profil Gesetz Ein sehr (zu?) liberales Gesetz. Probenahme von DNA-Profil kann von der Polizei angeordnet werden (aber mit Anfechtungsmöglichkeit durch die betroffene Person). Es besteht kein Deliktskatalog. Massenuntersuchungen können nur durch den Richter angeordnet werden. 34

35 DNA-Profil Gesetz Das Informationssystem (Datensammlung) wird durch den Bund betrieben. Spuren von verurteilten, verdächtigten oder toten Personen können aufgenommen werden. Nicht von Opfern, von Personen, die bei einer Massenuntersuchung als Täter ausgeschlossen wurden. Art des Gesetzes sind dem Datenschutz gewidmet (insbesondere Löschung des Profils) 35

36 Überwachung von Post- und Fernmeldeverkehr (BÜPF) Gesetz seit 1. Januar 2002 in Kraft. Überwachung muss durch Richter angeordnet bzw. genehmigt werden. Abschliessender Deliktskatalog für die Anordnung der Überwachung. Zufallsfunde können nur verwendet werden, wenn deren Entdeckung eine Überwachung gerechtfertigt hätte. 36

37 Abrufverfahren Einwohnerkontrolle Verordnung zum Niederlassungsgesetz wurde durch 6a wie folgt ergänzt: 1 Die Gemeinden können der Kantonspolizei mit öffentlich-rechtlichem Vertrag das Recht einräumen, die für die Erfüllung ihrer Aufgaben erforderlichen Daten bei der Einwohnerkontrolle elektronisch abzurufen. 2 Der Zugriff kann auf folgende Daten eingeräumt werden: a. Name, b. Vorname, c. Geschlecht, d. Beruf, e. Adresse, f. Zivilstand, g. Staatsangehörigkeit, h. Heimat - und Geburtsort, i. Zeit und Ort des Zu- und Wegzugs, k. Geburtsdatum, l. zivilrechtliche Handlungsfähigkeit, m. Name der Eltern, des Ehegatten und der Kinder und n. Name des Arbeitgebers oder der Arbeitgeberin. 3 Folgende Suchkriterien sind zulässig: a. Name, b. Name und Vorname, c. Name und Geburtsdatum, d. Adresse, e. Haushaltsübersicht und f. Suche nach Strassenzügen. 4 Die Abrufung von Daten wird unter Angabe des Zweckes protokolliert. 37

38 Datenschutzbeauftragter Lichtenstein Dr. Philipp Mittelberger Herrengasse 6, 9490 Vaduz/FL Telefon Fax Homepage (Verwaltung) 38

39 Noch Fragen??? 39